Đề tài: Tấn công Man-in-theMiddle sử dụng ARP Poisoning Đề tài: Tấn công Man-in-the-Middle Bùi Thị Nga_CNTT16A sử dụng kỹ thuật Cao Văn Hoàng_KHMT17 ARP Poisoning 01 Giới thiệu tổng quan kỹ thuật công Man-in-the-Middle 03 Mục đích cơng Man-in-theMiddle 04 Các cách phịng Giả mạo ARP tránh Giới thiệu tổng quan kỹ thuật công Man-in-the-Middle Man-in-the-Middle kiểu công mạng thường thấy sử dụng để chống lại cá nhân tổ chức lớn Man-in-the-Middle hiểu nơm na giống kẻ nghe trộm M T I M Man-in-the-Middle cho phép kẻ can thiệp vào kết nối Internet người khác thu thập thông tin truyền hệ thống mạng Man-in-the-Middle xuất hiên từ nhiều năm trước gấy hại cho nhiều người dùng máy tính Trong trường hợp bị công, nạn nhân tin tưởng họ truyền thông cách trực tiếp với nạn nhân kia, thực luồng truyền thông lại bị thông qua host kẻ công Và kết host khơng thơng dịch liệu nhạy cảm mà cịn gửi xen vào thay đổi luồng liệu để kiểm soát sâu nạn nhân Man-in-the-Middle Attack Khi kết nối vào địa wifi công cộng (không bảo mật), kẻ công quét tất kết nối sau khai thác lỗ hổng bảo mật để thực cơng 2 Mục đích cơng : Nghe trộm giao tiếp hai mục tiêu Thu thập thông tin quan trọng nạn nhân Điều tra tội phạm qua giao tiếp Can thiệp thông tin giả mạo Các hình thức cơng MITM phổ biến: • Tấn cơng giả mạo ARP cache(ARP Cache Poisoning) • Tấn cơng giả mạo DNS • Chiếm quyền điều khiển Session • Chiếm quyền điều khiển SSL…… Giả mạo ARP Giả mạo ARP Cache (ARP Cache Poisoning) Là hình thức công lâu đời nhất, đơn giản lại hình thức hiệu thực kẻ công Truyền thông ARP thông thường Tìm địa MAC phần cứng có liên quan tới địa IP cho để lưu lượng đến đích mạng Giả mạo Cache Việc giả mạo lợi dụng tính khơng an tồn giao thức ARP Sử dụng Cain & Abel Là công cụ giúp tạp APR giả mạo , từ dễ dàng nghe nạn nhận mạng Giao thức ARP chế hoạt động Giao thức ARP (Address Resolution Protocol) thiết kế để phục vụ cho nhu cầu thông dịch địa lớp thứ hai (Data link) thứ ba (Network) mơ hình OSI Giao thức ARP Lớp thứ hai (data link) Sử dụng địa MAC để thiết bị phần cứng truyền thơng với cách trực tiếp Lớp thứ ba (Network) Sử dụng địa IP để tạo mạng có khả mở rộng tồn cầu Cơ chế hoạt động ARP ARP ARP ARP Quá trình ARP (Address Resolution Protocol) thực theo chế: Một thiết bị IP mạng gửi gói tin broadcast đến toàn mạng để yêu cầu thiết bị khác gửi trả lại địa phần cứng (địa MAC) nhằm thực truyền tin cho thiết bị phát thiết bị nhận ARP trình chiều Request/Response thiết bị mạng nội Thiết bị nguồn yêu cầu(request) cách gửi tin broadcast tồn mạng Thiết bị đích trả lời (response) tin unicast đến thiết bị nguồn Mục đích Request Response tìm địa MAC phần cứng có liên quan tới địa IP gửi để lưu lượng đến đích mạng Cơ chế cơng giả mạo ARP Cache (ARP Poisoning) Hai máy A B thực truyền thơng bình thường với giao thức ARP chế trình bày Dựa theo đó, kẻ cơng thực gửi liên tục gói ARP Response nhắm đầu độc đệm ARP Cache máy A, B Sau đầu độc, kẻ cơng lấy cắp thơng tin mật A B Cụ thể sau: - Chúng ta có hai máy victim A C, máy attacker B - Khi B xâm nhập vào mạng, B thực trình Man-in-the-Middle sau: + Khi A C thực q trình trao đổi thơng tin, C làm thay đổi địa MAC, IP A C cách gán cho A, C hai địa MAC, IP khác MAC_A, IP_A, MAC_C, IP_C + Đồng thời B thực gán cho địa MAC, IP tương ứng MAC_H, IP_H - Trong q trình trao dổi thơng tin, B làm cho A hiểu lầm là: + A hiểu địa MAC, IP C MAC_H, IP_H + Tương tự vậy, C hiểu địa MAC, IP A MAC_H, IP_H - Như vậy, trap đổi liệu, A C gửi liệu đến B, nghĩ gửi đến máy đối phương bình thường - Trong trình đó, B có tồn thơng tin giao tiếp A C, đồng thời đóng vai trị trạm trung chuyển âm thầm A C mà hồn tồn khơng bị phát 10 Cách thực 11 Giả sử, có mạng với chi tiết sau: 01 01 Gateway: 172.31.81.129 (00:16:d4:74:6e:7f) 02 Victim Node: 172.31.81.160 (14:58:d0:c8:c8:70) 03 My Node: 172.31.81.186 (30:f9:ed:d5:dc:04) Công cụ cần thiết ettercap -G 12 Wireshark Đối với Ettercap G 13 Bấm vào tùy chọn sniff bar chọn unified sniffing chọn Interface (thường eth0) Bây giờ, điều mà cần làm quét tất máy chủ mạng Click vào ‘Hosts’ bar and chọn ‘scan hosts’ Bây quét tất xuất kết xuất hiên hình Nó hiển thị tổng số hosts tìm thấy trình quét Trong suốt trình quét, Ettercap gửi số yêu cầu phát sóng ARP tới máy chủ (hoặc máy chủ có khả hoạt động). Tất câu trả lời ghi lại địa MAC chúng Sau quét xong thực bước Các biện pháp phòng chống Bảo mật mạng LAN Sử dụng phần mềm Cấu hình lại bảng ARP Cache Các biện pháp phịng chống Bảo mật vật lý (Physical security) (Physical security) phương pháp tốt để chống lại kiểu công Ngồi ra, ta ngăn chặn hình thức cơng kỹ thuật mã hố: mã hoá traffic đường hầm IPSec, hacker IPSec, hacker nhìn thấy thơng tin khơng có giá trị Dùng mật mã xác thực Nếu hai đầu nói chuyện xác thực, khả công theo kiểu khả công theo kiểu Man-in-the-middle middle ngăn cản Bảo mật mạng LAN h m b Đóng cổng truy Đặt mật cho Thiết lập quy định cho Sử dụng phần mềm để lọc nội cập BIOS GPO dung cho HTTP, FTP SMTP Đóng tất cổng truy cập Nếu bạn có mạng LAN với vài máy tính, tất người truy nhập vào tất máy tính mạng Bất kể lấy cắp liệu quan trọng với USB nhỏ bé Như vậy, cần phải quản lý chặt chẽ cấp quyền truy nhập cổng Hãy sử dụng phầm mềm DeviceLock Đặt mật cho BIOS Thiết lập quy định cho GPO Các nhân viên dùng máy tính khơng nên phép cài hay chạy phần mềm, họ tải chương trình tiềm ẩn hiểm hoạ Các hệ điều hành máy chủ Windows có cơng cụ mạnh để quản lý quyền người dùng GPO (Group Policy Objects) Với cơng cụ này, bạn lập sách quản lý bảo mật cho mạng, xác lập quy chế: độ phức tạp mật khẩu, bảo vệ hình (screensaver), ứng dụng quyền chạy Các sách nhóm (Group Policy) GPO có tác động lớn với người dùng, nên kiểm tra cẩn thận trước thực Sử dụng phần mềm để lọc nội dung cho HTTP, FTP SMTP Open Source Filter lọc nguồn mở dùng để lọc nội dùng cho HTTP, FTP SMTP WordPress hệ quản trị nội dung Sử dụng phần mềm Cấu hình lại bảng ARP ... tổng quan kỹ thuật công Man-in-the-Middle Man-in-the-Middle kiểu công mạng thường thấy sử dụng để chống lại cá nhân tổ chức lớn Man-in-the-Middle hiểu nôm na giống kẻ nghe trộm M T I M Man-in-the-Middle... giống kẻ nghe trộm M T I M Man-in-the-Middle cho phép kẻ can thiệp vào kết nối Internet người khác thu thập thông tin truyền hệ thống mạng Man-in-the-Middle xuất hiên từ nhiều năm trước gấy hại cho... công 2 Mục đích cơng : Nghe trộm giao tiếp hai mục tiêu Thu thập thông tin quan trọng nạn nhân Điều tra tội phạm qua giao tiếp Can thiệp thơng tin giả mạo Các hình thức cơng MITM phổ biến: • Tấn